我们目前正在使用SAML 2.0开发SSL解决方案,直到现在,我们一直使用自签名证书来签署XML请求 .
但是,当我们转向 生产环境 时,我们希望使用证书颁发机构颁发的证书 . 但我不确定要购买哪种类型的证书,因为它们都是以网站为中心的 . 例如,单域,通配符域等 .
例如,一直在看这些:https://www.123-reg.co.uk/ssl-certificates/
在购买网站的SSL证书时,我非常了解 . 但是,由于证书仅用于签署SAML请求,因此购买哪种类型是否重要?当然它是否支持单个域或通配符域是无关紧要的?
1 回答
SAML中的证书仅用作处理签名和加密密钥的便捷方式 . 密钥通常通过元数据进行交换,或者通过将证书安全地转移到SAML交换中涉及的各方来进行交换 . 因此,不需要能够使用公共权限来验证证书 .
这也在SAML metadata specification (line 697)中说明
所以我会继续使用自签名证书 .
但是,如果你想购买证书,它应该是“数字签名”和“密钥加密”用法 . 普通的SSL证书(至少是我检查过的证书)确实包含这些用法 .
“数字签名”的使用应该是自我解释的 . “密钥加密”是由于证书中的密钥不用于直接加密数据的事实 . 数据通过适用于较大数据大小的对称密钥算法加密 . 然后使用RSA密钥加密该密钥(RSA适用于较小的数据,例如加密密钥) . 因此,RSA密钥用于加密/加密密钥 .